当前位置:网站首页>Wazuh開源主機安全解决方案的簡介與使用體驗
Wazuh開源主機安全解决方案的簡介與使用體驗
2022-07-05 05:37:00 【運維個西瓜】
日漸重要的主機安全管理
隨著各種數字幣風起雲湧的發展,原本以運行Linux系統為主、少有病毒或木馬侵擾的企業主機安全管理領域也越發變得不太平起來了,各色人等為了獲得“免費”的企業級算力挖幣,紛紛打起了企業服務器的主意。企業應用信息安全的管理已經不再滿足於僅僅配備幾個“網絡安全”設備了,僅做到這一點的話,恐怕會連目前的等級保護三級標准也通過不了。
目前一些有實力的大廠都有自研的Linux主機安全管理工具,也有幾家專做安全產品企業服務的廠商推出了商用產品,幾大公有雲廠商的雲應用商店裏也都將主機安全產品與雲防火牆、DDos防護打包提供給客戶了。
相較網絡安全防護產品而言,主機安全產品的成本投入會更高一些,因為這需要在每個主機上都安裝agent節點,計費基本上都是按節點數量收費。對於有一定運營規模的企業來說,使用幾百個物理機、虛機或雲主機都是很常見的,全面部署商用主機安全產品的成本壓力很大。
今天我們給大家介紹的這款開源主機安全產品——Wazuh,是免費的開源軟件。其組件遵守GNU通用公共許可證2版和Apache許可證2.0版(ALv2)。Wazuh平臺提供XDR和SIEM功能來保護雲、容器和服務器工作負載。其中包括日志數據分析、入侵和惡意軟件檢測、文件完整性監控、配置評估、漏洞檢測,以及支持檢查對法規遵從性的檢測。
幾個安全專業名詞:
- XDR(跨層檢測與響應)
- EDR(端點檢測與響應)
- NTA(網絡流量分析)
- SIEM(安全信息與事件管理)
Wazuh的使用場景
- 日志數據分析
- Rootkits檢測
- 配置評估
- 脆弱性檢測
- 容器服務安全
- 文件完整性監控
- 主動響應並扼制
- 系統資源清單管理
- 雲服務安全
- 法規遵從
Wazuh主要組件
Wazuh解决方案基於部署在受監控端點上的Wazuh agent,以及三個核心組件:Wazuh服務器、Wazuh索引器和Wazuh儀錶盤。
- Wazuh indexer:一個高擴展性的全文檢索與分析引擎
- Wazuh server:用於配置和管理agents,接收agents發送的數據並解析,單實例部署可以支持幾百到幾千個agents,支持集群模式以提供更大的處理能力。
- Wazuh dashboard:Web UI,主要用於安全事件、法規遵從、入侵檢測、文件完整性監控及配置評估結果的可視化展示,也用於Wazuh的服務配置與狀態監控。
- Wazuh agents:安裝在各種類型終端上的軟件,支持Linux, Windows, macOS, Solaris, AIX, and HP-UX。提供威脅預防、檢測和響應能力。
除了基於agent的監控功能外,Wazuh平臺還可以監控agentless設備,如防火牆、交換機、路由器或IDS等。例如,可以通過Syslog收集系統日志數據,並且可以通過SSH或API定期探測其數據來監視其配置。
Wazuh部署架構
對於業務負載較重的場景,建議將server與indexer分別部署在不同的主機節點,視負載大小還可以選擇進行server/indexer的單實例或集群模式部署。
Wazuh的組件間通信與常用端口
Wazuh agent與Wazuh server的通信
Wazuh server默認監聽1514端口,用於處理與agents的通信,默認使用AES加密傳輸。
接收到的數據會保存到以下默認路徑:
- /var/ossec/logs/archives/archives.json,保存從agents收到的所有事件消息,建議部署cron定時任務以只保持近期數據,避免發生存儲空間滿的故障
- /var/ossec/logs/alerts/alerts.json,保存匹配上識別規則的事件消息
Wazuh server與Wazuh indexer的通信
Wazuh server通過TLS加密,使用Filebeat將警報和事件數據發送到Wazuh indexer。Filebeat讀取Wazuh server輸出數據並將其發送到Wazuh indexer(默認情况下,偵聽端口9200/TCP)。一旦數據被Wazuh indexer索引,Wazuh儀錶盤將用於進一步信息挖掘和可視化展示。
Wazuh儀錶盤查詢Wazuh RESTful API(默認情况下監聽Wazuh server上的55000/TCP端口),以顯示Wazuh server和agent的配置和狀態相關信息。
Wazuh使用的服務端口與默認值
Wazuh的單實例部署與體驗
為體驗Wazuh的功能,我們可以在測試環境快速部署一個單實例的服務,即Wazuh server, Wazuh indexer 和 Wazuh dashboard都部署在一個主機上面。
主機操作系統建議:CentOS7/8,Ubuntu 16.04/18.04/20.04/22.04
安裝Wazuh:
$ curl -sO https://packages.wazuh.com/4.3/wazuh-install.sh && sudo bash ./wazuh-install.sh -a
在需要監控的終端主機上部署Wazuh agent軟件,參考方法:https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html
安裝Linux Wazuh agnet:
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-\$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF
WAZUH_MANAGER="10.0.0.2" yum install wazuh-agent
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent
更多部署agent可用的選項請見 Deployment variables for Linux
關於Wazuh agent注册方法請見 Wazuh agent enrollment
禁用Wazuh agent的更新,以避免agent的版本因為不小心而昇級為高於server的版本:
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
怎麼樣删除删除Wazuh服務:
$ sudo bash ./wazuh-install.sh --uninstall
注:如果網絡條件差,yum安裝報錯,可以試下從官網下載相關的rpm包進行安裝 https://documentation.wazuh.com/current/installation-guide/packages-list.html
集成部署Wazuh 與 Elastic Stack basic license
實現了Wazuh與Elastic Stack的功能集成,消息數據存儲到Elastic並基於Elastic Stack進行數據的檢索與圖錶化展示。
有兩種部署方式:
- All-in-one deployment ,單機部署所有,用於測試或小規模環境。
- Distributed deployment
在這裏,我們通過部署一套All-in-one的環境,給大家做一個演示。
注:以下測試,我們都是基於centos7系統展開的。
安裝幾個工具包
yum install zip unzip curl
安裝Elasticsearch
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
cat > /etc/yum.repos.d/elastic.repo << EOF [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md EOF
yum install elasticsearch-7.10.2
elastic配置文件:
curl -so /etc/elasticsearch/elasticsearch.yml https://packages.wazuh.com/4.3/tpl/elastic-basic/elasticsearch_all_in_one.yml
安裝數字證書:
curl -so /usr/share/elasticsearch/instances.yml https://packages.wazuh.com/4.3/tpl/elastic-basic/instances_aio.yml
/usr/share/elasticsearch/bin/elasticsearch-certutil cert ca --pem --in instances.yml --keep-ca-key --out ~/certs.zip
unzip ~/certs.zip -d ~/certs
mkdir /etc/elasticsearch/certs/ca -p
cp -R ~/certs/ca/ ~/certs/elasticsearch/* /etc/elasticsearch/certs/
chown -R elasticsearch: /etc/elasticsearch/certs
chmod -R 500 /etc/elasticsearch/certs
chmod 400 /etc/elasticsearch/certs/ca/ca.* /etc/elasticsearch/certs/elasticsearch.*
rm -rf ~/certs/ ~/certs.zip
chown -R elasticsearch.elasticsearch /etc/elasticsearch/
注意需要使用到jdk8
設置服務啟動方式:
systemctl daemon-reload
systemctl enable elasticsearch
systemctl start elasticsearch
創建Elastic Stack pre-built roles and users:
/usr/share/elasticsearch/bin/elasticsearch-setup-passwords auto
檢查下安裝結果:
curl -XGET https://localhost:9200 -u elastic:<elastic_password> -k
安裝Wazuh server
Wazuh server負責從agents收集數據並進行分析,主要包括了Wazuh manager、Wazuh API和Filebeat三個組件。
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-\$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF
安裝wazuh-manager:
yum install wazuh-manager
systemctl daemon-reload
systemctl enable wazuh-manager
systemctl start wazuh-manager
安裝Filebeat:
用於將報警事件和歸檔消息轉發到Elasticsearch存儲。
yum install filebeat-7.10.2
filebeat的配置文件:
curl -so /etc/filebeat/filebeat.yml https://packages.wazuh.com/4.3/tpl/elastic-basic/filebeat_all_in_one.yml
Wazuh報警配置模板:
curl -so /etc/filebeat/wazuh-template.json https://raw.githubusercontent.com/wazuh/wazuh/4.3/extensions/elasticsearch/7.x/wazuh-template.json
chmod go+r /etc/filebeat/wazuh-template.json
下載Filebeat使用的Wazuh模塊:
curl -s https://packages.wazuh.com/4.x/filebeat/wazuh-filebeat-0.2.tar.gz | tar -xvz -C /usr/share/filebeat/module
更新/etc/filebeat/filebeat.yml配置文件中的密碼信息:
output.elasticsearch.password: <elasticsearch_password>
將上面password參數值設置為elastic用戶的密碼
部署證書:
cp -r /etc/elasticsearch/certs/ca/ /etc/filebeat/certs/
cp /etc/elasticsearch/certs/elasticsearch.crt /etc/filebeat/certs/filebeat.crt
cp /etc/elasticsearch/certs/elasticsearch.key /etc/filebeat/certs/filebeat.key
啟動Filebeat:
systemctl daemon-reload
systemctl enable filebeat
systemctl start filebeat
測試安裝結果:
filebeat test output
安裝Kibana:
yum install kibana-7.10.2
部署證書:
mkdir /etc/kibana/certs/ca -p
cp -R /etc/elasticsearch/certs/ca/ /etc/kibana/certs/
cp /etc/elasticsearch/certs/elasticsearch.key /etc/kibana/certs/kibana.key
cp /etc/elasticsearch/certs/elasticsearch.crt /etc/kibana/certs/kibana.crt
chown -R kibana:kibana /etc/kibana/
chmod -R 500 /etc/kibana/certs
chmod 440 /etc/kibana/certs/ca/ca.* /etc/kibana/certs/kibana.*
curl -so /etc/kibana/kibana.yml https://packages.wazuh.com/4.3/tpl/elastic-basic/kibana_all_in_one.yml
編輯/etc/kibana/kibana.yml,更新密碼:
elasticsearch.password: <elasticsearch_password>
password參數值設置為elastic用戶的密碼
mkdir /usr/share/kibana/data
chown -R kibana:kibana /usr/share/kibana
安裝Wazuh kibana插件:
cd /usr/share/kibana
sudo -u kibana /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/4.x/ui/kibana/wazuh_kibana-4.3.5_7.10.2-1.zip
允許kibana用戶使用443端口:
setcap 'cap_net_bind_service=+ep' /usr/share/kibana/node/bin/node
登錄web平臺:
URL: https://<wazuh_server_ip>
user: elastic
password: <PASSWORD_elastic>
禁用wazuh,elastic的yum安裝源,以避免部分軟件包被自動更新而導致出現兼容性問題:
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/elastic.repo
安裝Wazuh agent
找一個測試機,安裝Wazuh agent,用於驗證測試相關功能。
https://documentation.wazuh.com/current/installation-guide/wazuh-agent/index.html
rpm --import https://packages.wazuh.com/key/GPG-KEY-WAZUH
cat > /etc/yum.repos.d/wazuh.repo << EOF [wazuh] gpgcheck=1 gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH enabled=1 name=EL-\$releasever - Wazuh baseurl=https://packages.wazuh.com/4.x/yum/ protect=1 EOF
WAZUH_MANAGER="IP-OF-WAZUH-MANAGER" yum install wazuh-agent
請將WAZUH_MANAGER參數值替換為Wazuh-manager主機的IP地址
systemctl daemon-reload
systemctl enable wazuh-agent
systemctl start wazuh-agent
sed -i "s/^enabled=1/enabled=0/" /etc/yum.repos.d/wazuh.repo
登錄kibana web平臺查看配置結果
從下面的截圖可以看到,Wazuh提供的安全管理功能是非常豐富的,有很多維度和層次,圖形化界面的展示使用體驗也很不錯。
接下來, 我們還將在後續的文章中繼續分享Wazuh的生產環境分布式部署方案與實踐,以及信息安全管理需求的定制化配置模板的設計與實現。
边栏推荐
- Zheng Qing 21 ACM is fun. (3) part of the problem solution and summary
- R语言【数据集的导入导出】
- Haut OJ 1347: addition of choice -- high progress addition
- Codeforces Round #716 (Div. 2) D. Cut and Stick
- 每日一题-搜索二维矩阵ps二维数组的查找
- EOJ 2021.10 E. XOR tree
- ssh免密登录设置及使用脚本进行ssh登录并执行指令
- Software test -- 0 sequence
- Sword finger offer 04 Search in two-dimensional array
- 【Jailhouse 文章】Performance measurements for hypervisors on embedded ARM processors
猜你喜欢
Sword finger offer 04 Search in two-dimensional array
sync. Interpretation of mutex source code
Reader writer model
Palindrome (csp-s-2021-palin) solution
![[to be continued] [depth first search] 547 Number of provinces](/img/c4/b4ee3d936776dafc15ac275d2059cd.jpg)
[to be continued] [depth first search] 547 Number of provinces
挂起等待锁 vs 自旋锁(两者的使用场合)
YOLOv5添加注意力机制
Support multi-mode polymorphic gbase 8C database continuous innovation and heavy upgrade
Pointnet++ learning
Improvement of pointnet++
随机推荐
[jailhouse article] look mum, no VM exits
Introduction to convolutional neural network
Sword finger offer 35 Replication of complex linked list
A new micro ORM open source framework
Time complexity and space complexity
Corridor and bridge distribution (csp-s-2021-t1) popular problem solution
Introduction to tools in TF-A
Fried chicken nuggets and fifa22
Codeforces Round #716 (Div. 2) D. Cut and Stick
Haut OJ 1218: maximum continuous sub segment sum
Developing desktop applications with electron
Sword finger offer 04 Search in two-dimensional array
利用HashMap实现简单缓存
A problem and solution of recording QT memory leakage
Haut OJ 1347: addition of choice -- high progress addition
[es practice] use the native realm security mode on es
Improvement of pointnet++
[to be continued] [depth first search] 547 Number of provinces
Acwing 4301. Truncated sequence
Sword finger offer 53 - I. find the number I in the sorted array